Startseite
Sie sind hier: Home > Digital > Sicherheit >

ZeuS-Trojaner überlistet Virenscanner

...

ZeuS-Trojaner  

ZeuS-Trojaner überlistet Virenscanner

18.09.2011, 14:00 Uhr | Jens Müller und Andreas Lerg, t-online.de

ZeuS-Trojaner überlistet Virenscanner. Zeus besiegt viele Virenscanner. (Quelle: imago)

Zeus besiegt viele Virenscanner. (Quelle: imago)

Seit Monaten treibt der Trojaner ZeuS bereits sein Unwesen im Internet und räumt reihenweise Online-Banking-Konten leer. Eigentlich sollte sich die Schadsoftware mit Virenjägern abwehren lassen, doch viele Anti-Virus-Programme scheitern an dieser Aufgabe. Denn Baukasten-Trojaner ZeuS tarnt geschickt seine Spuren.

Der Trojaner ZeuS gilt als einer der derzeit gefährlichsten Online-Banking-Trojaner. Denn obwohl die Schadsoftware seit Monaten bekannt ist und ihr Quellcode im Internet einsehbar ist, überlistet ZeuS reihenweise Virenscanner. Denn mittels eines Baukasten-Prinzips, zufällig generierten Dateinamen und einer integrierten Update-Funktion ist der Trojaner nur schwer zu finden. Viele Gratis-Virenscanner sind gegen ZeuS förmlich machtlos, wie das deutsche Fachmagazin c't in der aktuellen Ausgabe meldet. Die Experten empfehlen den Einsatz einer weiteren Schutz-Software wie ThreatFire, um nicht Opfer des raffinierten Konto-Plünderes zu werden.

Trojaner ZeuS wählt zufällige Aufenthaltsorte

Viele herkömmliche Anti-Virus-Programme setzen auf signaturbasierte Scans, das heißt, die Virenjäger durchforsten das Betriebssystem nach Fingerabdrücken der Schadsoftware. Doch diese hinterlässt ZeuS in der Regel nicht. Der Trojaner nistet sich nach der Installation unter zufällig generierten Dateinamen im Windows-Ordner "Anwendungsdaten" ein. Das simple Löschen der Dateien reicht nicht aus, denn auch für die Einträge in der Windows-Registry verwendet ZeuS laut c't zufällige Werte, die er zudem fünfmal pro Sekunde neu anlegt.

Computer-Video 
Online-Banking: Aus für die TAN-Liste

Wie sicher die neuen Verfahren mTan und chipTAN? Video

Gratis-Tool spürt ZeuS auf

Und genau darin liegt der Schwachpunkt von ZeuS. Denn ein Windows-Prozess, der in sich in dieser Häufigkeit in die Registry einträgt und in regelmäßigen Abständen mit einem Internet-Server kommuniziert, macht sich verdächtig. Die Verhaltenserkennung moderner Virenscanner sollten dies bemerken. In den Tests der c't bewährte sich vor allem ThreatFire gegen den ZeuS-Trojaner und bremste ihn mehrfach aus. Die Autoren empfehlen daher, das kostenlose Programm zusätzlich zu einem Virenscanner zu installieren, da es lediglich mit der notwendigen Verhaltenserkennung arbeitet.

ZeuS Fingerabdruck ändert sich permanent

Für die Analyse zerpflückte die c't mehr als 50.000 Zeilen Programmcode von Zeus. Der Trojaner ist aus einer Reihe von Modulen aufgebaut, die einzeln angepasst und verändert werden können. Das bedeutet, dass sich ZeuS fortlaufend verändert. Die Hintermänner des Trojaners ändern über automatische Updates der verwendeten Module jederzeit den Fingerabdruck der Schadsoftware und umgehen damit herkömmliche Virenscanner und deren Signaturen.

Sparkassen-Baustein für 60 Dollar

Die Zusatzmodule, Webinjects genannt, schieben Opfern von ZeuS manipulierte Online-Banking-Seiten im Browser unter, selbst bei verschlüsselt übertragenen Seiten. Damit sammelt der Trojaner PIN und TAN von Bankkonten ein. Das Webinject für das Online-Banking der deutschen Sparkassen beispielsweise kostet etwa 60 US-Dollar und lässt sich für weitere 20 Dollar anpassen, so die c't. Mit seinen Grundfunktionen sammelt ZeuS zusätzlich etwa Zugangsdaten für Webmail-Seiten, überwacht Tastatureingaben und überträgt Bildschirmfotos der Opfer-PC an seine Hintermänner.

ZeuS-Trojaner perfekt für den virtuellen Bankraub

So lässt sich mit ZeuS, der erstmals 2006 auftauchte, große Beute machen. Im Oktober des letzten Jahres fassten ukrainische Behörden eine Bande, die mit Hilfe des Zeus-Trojaners über 51 Millionen Euro erbeutete. Eine entdeckte Mutation des Zeus-Trojaners fängt sogar mTAN ab und überlistet so das vermeintlich sichere Online-Banking-Verfahren. Das sind Transaktionsnummern zur Autorisierung von Banküberweisungen, die per SMS an das Handy eines Bankkunden verschickt werden. Trotz der Analyse und der Tipps der c't wird der Kampf gegen ZeuS weitergehen und die kriminellen Hintermännern, die ihre Kommentare im Software-Code auf russisch verfassen, dürften noch zahlreiche Konten leerräumen.

Liebe Leser, bitte melden Sie sich an, um diesen Artikel kommentieren zu können. Mehr Informationen.
Leserbrief schreiben

Für Kritik oder Anregungen füllen Sie bitte die nachfolgenden Felder aus. Damit wir antworten können, geben Sie bitte Ihre Adresse an.

Name
E-Mail
Betreff
Nachricht

Wählen Sie aus dem Pull-Down-Menü Ihren gewünschten Ansprechpartner aus. Vielen Dank für Ihre Mitteilung.

Artikel versenden

Empfänger

Absender

Name
Name
E-Mail
E-Mail
Nachricht
Anzeige
Video des Tages
Made in Germany 
"Quantum of the Seas" ist ein wahrer Gigant der Weltmeere

Luxusliner ist das größte Schiff, das in Deutschland jemals gefertigt wurde. Video

Anzeige
Bequem geht anders 
Turnschuhe aus Holz - der neueste Modetrend?

Ohne Moos nix los - der französische Künstler Guinet beweist seine Kreativität. mehr

Anzeige 
Apple iPhone 6 Plus

Das iPhone 6 ist nicht einfach nur größer. Es ist einfach in allem besser.
Jetzt vorbestellen

Anzeige 
Temperatur und Licht zu Hause intelligent steuern

Smart Home sorgt für Komfort und Sicherheit und spart oft sogar Energie. Zu Smart Home

Telekom präsentiert 
Nur für kurze Zeit: S5 kaufen und gratis Tablet geschenkt!*

Beim Kauf eines S5 im Telekom Tarif erhalten Sie ein Tablet gratis und 100 € Cashback. Jetzt bestellen

Anzeige

Shopping
Shopping 
Aufregende Dessous mit dem gewissen Etwas

Tolle Stoffe, herrliche Farben und ein perfekter Sitz - BHs, Slips, Strings u. v. m. bei BAUR.

Shopping 
Die neuen Herbst-/ Winter-Styles für Damen und Herren

Trends und Must-haves von BRAX: online entdecken und versandkostenfrei bestellen. mehr

Shopping 
Frankreich pur genießen - mit 42 % Rabatt

10 Fl. Belle Poule + 2 Gläser. Statt 83,90 € jetzt für nur 49,- €. Versandkostenfrei bei bei HAWESKO.

tchibo.deOTTObonprix.deESPRITBAURCECILmedpexdouglas.deWENZ

Anzeige